Tysiące firm z branż, które na pierwszy rzut oka nie mają nic wspólnego z nowymi technologiami, będą musiały sprawdzić, czy nie mają urządzeń uznanych za niebezpieczne, i w razie potrzeby będą musiały je wymienić.
Firmom z branży komunikacji elektronicznej czy infrastruktury cyfrowej zagadnienie cyberbezpieczeństwa jest znane od dawna. Skierowana przez Ministerstwo Cyfryzacji do konsultacji nowelizacja sprawi, że obowiązki w tej dziedzinie spadną na podmioty z 18 sektorów gospodarki: od bankowości, przez transport, żywność i chemikalia, po ścieki i gospodarkę odpadami (patrz: grafika). Może to być zatrudniający 50 osób zakład produkcji mięsa czy nawet mała fabryka proszku do prania.
W sumie wymogi przewidziane w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) dotkną ponad 38,5 tys. podmiotów, w tym administracji publicznej. Większość z nich – ok. 35 tys. – oprócz zarządzania cyberryzykiem, audytów i raportowania będzie też miała zakaz zaopatrywania się w określonych firmach w produkty, usługi lub procesy ICT (tj. związane z technologiami informacyjno-telekomunikacyjnymi), jeśli zostaną one uznane za dostawców wysokiego ryzyka. A w razie zrobienia tam zakupów wcześniej – trzeba będzie sprzęt wymienić na inny.
Siedem lat na wymianę
– Prawie każdy podmiot wchodzący w skład krajowego systemu cyberbezpieczeństwa będzie się musiał liczyć z tym, że dowolny producent, importer albo dystrybutor sprzętu lub oprogramowania zostanie wpisany na listę dostawców wysokiego ryzyka i trzeba będzie z niego zrezygnować – mówi Marcin Serafin, partner w kancelarii Rymarz Zdort Maruta.
Na usunięcie takiego sprzętu lub oprogramowania będzie siedem lat, a jeśli jest wykorzystywany przez największych przedsiębiorców telekomunikacyjnych do realizowania funkcji krytycznych dla bezpieczeństwa sieci i usług – cztery lata. Projekt nie przewiduje za to żadnych rekompensat.
W jego uzasadnieniu wytłumaczono te rozwiązania potrzebą zapewnienia bezpieczeństwa narodowego.
– Zachodzi jednak dysonans między tym, co projektodawca deklaruje, że chce osiągnąć, a zaproponowanymi środkami. Korzystanie ze sprzętu przez siedem lat po uznaniu producenta za dostawcę wysokiego ryzyka nie przysłuży się bezpieczeństwu państwa. Jeśli natomiast takie decyzje mają służyć celom politycznym, to niech ktoś to jasno przyzna i weźmie za to odpowiedzialność – komentuje Marcin Serafin.
Podejrzenie o związek możliwości wykluczenia pewnych dostawców z rynku z polityką nie jest nowe – towarzyszyło też pracom nad nowelą KSC za rządów Prawa i Sprawiedliwości. Wtedy jednak miało to dotyczyć tylko telekomunikacji.
Dwa w jednym
Obecny projekt, tak jak kilkanaście wersji poprzedniego rządu, wdraża rozwiązania wynikające z tzw. toolboxu – zestawu narzędzi przyjętych w UE w 2020 r. na potrzeby cyberbezpieczeństwa sieci komórkowych piątej generacji (5G). W ramach toolboxu państwa członkowskie uznały konieczność oceny profilu ryzyka poszczególnych dostawców sprzętu do sieci 5G oraz stosowania odpowiednich ograniczeń wobec firm dostawców wysokiego ryzyka (HRV).
Tym razem jednak doszła jeszcze implementacja unijnej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dalej: NIS2).
– W rezultacie połączenia tych regulacji w jednym projekcie ustawy doszło do rozszerzenia jej zakresu podmiotowego – mówi prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy. – Wcale nie musiało się tak stać. Wskazują na to implementacje w innych krajach: np. w Niemczech implementacja NIS2 dotyczy 35 tys. podmiotów, a we Francji 15 tys. – stwierdza.
Jak podkreśla, szeroki zakres nowelizacji KSC wynika ze specyfiki podejścia ministerstwa do implementacji. – Projektodawcy wdrażają dyrektywę w sposób ekstensywny, choć jej art. 5 mówi o harmonizacji minimalnej, czyli wdrożeniu jej tylko w niezbędnym zakresie – komentuje.
Kryterium polityczne
O tym, jakiego sprzętu i oprogramowania firmy nie będą mogły kupować, zdecyduje minister cyfryzacji – uznając danego producenta, importera lub dystrybutora za dostawcę wysokiego ryzyka w wyniku postępowania, które może wszcząć z urzędu sam albo na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa (tę funkcję sprawuje premier).
– Największe wyzwanie będą mieli wszelkiego rodzaju dostawcy. Jeżeli zostanie wobec nich wszczęte postępowanie o uznanie za dostawcę wysokiego ryzyka, to jeszcze przed jego zakończeniem będą narażeni na ostracyzm klientów, którzy mogą się obawiać o wynik tego postępowania. Szczególnie że cała procedura jest nieprzejrzysta i częściowo utajniona – stwierdza Marcin Serafin.
Jednym z elementów analizy dostawców będzie prawdopodobieństwo znajdowania się ich „pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”.
– Z uwagi na tak sformułowane kryteria oceny dostawcy w art. 67b ust. 11 oraz ograniczoną liczbę dostawców na poszczególnych rynkach produktów i usług uregulowania te będą dotyczyć głównie dostawców spoza UE, a przede wszystkim z Chin. Z pewnością tak będzie na rynku dostawców infrastruktury do budowy sieci 5G. Można więc mówić o uregulowaniach w tym zakresie jako „lex Chiny” – stwierdza prof. Rogalski.
Żadna nazwa kraju ani firmy w projekcie nie pada, ale od kilku lat wymienia się w tym kontekście chińskiego giganta telekomunikacyjnego.
– Z perspektywy Huawei temat jest znany już od dłuższego czasu, ale mówimy tutaj o ponad 38 tys. firm i podmiotów – komentuje Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska. – Dostrzegam też swego rodzaju nadregulację w kontekście NIS2 – zaznacza, wskazując, że w 11 państwach Unii, które już implementowały dyrektywę NIS2, nie zastosowano kryterium politycznego. – Proponowane w ustawie zapisy są wyjątkowo restrykcyjne i z całą pewnością wyróżniają Polskę na tle innych krajów UE. Pytanie brzmi, jak w praktyce wpłyną na rodzimy biznes i jakie koszty poniosą polscy przedsiębiorcy – dodaje.
Wdrażana dyrektywa NIS2 w założeniu ma zwiększyć cyberbezpieczeństwo.
– Istotne w tym zakresie będzie jednak, czy podmioty objęte nowymi wymaganiami będą w stanie je wprowadzić. Nawet dla dużych podmiotów będzie to spore wyzwanie, wymagające dużych nakładów organizacyjnych i finansowych – stwierdza Maciej Rogalski. ©℗